정보보호 조직 구성하기

정보보호 관련 법령

조직의 규모, 분야별 적용되는 정보보호 관련법의 종류

- 법제처

- 정보보호 관련법에 관련된 공공기관

법	시행령	시행규칙
정보통신산업 진흥법	정보통신산업 진흥법 시행령	정보통신 산업 진흥법 시행규칙
정보통신기반 보호법	정보통신기반 보호법 시행령	정보통신 보호법 시행규칙
전자서명법	전자서명법 시행령	전자서명법 시행규칙
전자정부법	전자정부법 시행령	-
개인정보 보호법	개인정보 보호법 시행령	개인정보 보호법 시행규칙
정보통신망 이용촉진 및 정보보호 등에 관한 법률	정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령	정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행 규칙

각 법 및 시행령, 시행규칙 간의 관계

법	시행령	시행규칙
- 제정되는 법의 목표 - 법이 적용되는 범위 - 시행령 발효에 대한 근거	- 법의 특정 항목 / 내용의 구체화 - 법의 위임 명령 - 법의 적용 및 적용 감독을 위한 방법 - 시행규칙 생성에 대한 근거	- 시행령의 특정 항목 / 용어 / 내용의 구체화 - 시행령 시행 시 필요한 지원사항

 

정보보호 최고 책임자 임명

정보보호 관련 총괄 책임자에 대해 요구되는 소양 항목을 도출

- 정보보호 관련 지식

        > 정보보호 관련법 및 시행령

        > 시행규칙

        > 정보보호 분야

        > 정보보호 정책에 대한 지식

        > 정보보호 엔지니어링

        > 정보 시스템에 대한 운용 배경 지식

- 정보보안 실무 경험

        > 정보보호 외부 감사 대응

        > 정보 시스템 운용 실무

        > 정보관리 실무

        > 비즈니스 프로세스

        > 관리 경험

        > 정보보호 체계 구축 실무

        > 정보보호 내부 점검 실무

- 정보보안 구축 기술

        > 정보 시스템 구축 기술

        > 네트워크 구축 기술

        > 정보 저장 / 전송에 대한 기술

        > 정보보안

        > 인력관리 기술

        > 보안사고 대응 기술

        > 정보 추적 기술

- 정보보안 관련 인맥 등

 

정보보호 관련 법령 조사

정보보호 관련 법, 시행령, 시행규칙 및 지침, 가이드 등을 조사하여 관계 법령에서 제시한

보안요구사항을 도출

- 조직의 업무 분야에 해당하는 행정기관을 조사

- 조사된 행정기관에서 발의한 법 중에서 정보보호 관련 법령이 존재하는지 조사

- 조사된 행정기관에서 발의한 정보보호 관련법과 다른 법령과의 우선순위를 결정

- 최우선되는 정보보호 관련법에서 요구되는 조항을 분석

- 조직에 대해 정보보호 관련법에서 요구하는 보안요구사항을 모두 도출

조사된 관계 법령에서 제시한 보안요구사항을 바탕으로 정보보호 조직이 수행해야 할 직무를 정의

- 조사된 관계 법령에서 제시한 보안요구사항을 바탕으로 정보보호 죄직이 수행해야 할 직무를 정의

- 결정된 직무에 대한 정보보호 관련 업무나 정보, 관리 방법 등을 조사

- 조직 내 정보보호 관련 업무나 정보, 관리 방법 등에 대하여 보안요구사항의 충족 방법을 도출

- 필요시 도출된 충족 방법을 발의기관 담당자에게 문의하여 충족 여부를 확인

 

정보보호 정책 적용 대상 조직, 규모, 업무 중요도를 파악

전체 조직 구성을 확인하고 각 조직별 수행하는 업무를 조사

- 조직 구성을 확인

        > 부문 / 사업부, 부서, 팀 등의 조직 구성 규칙 및 현재의 업무 방식, 절차, 인력 운용 현황에 따른 조직 구성 현황을

           조사하고, 이를 도식화

- 조직별 담당 책임자를 확인

        > 도식화된 전체 조직에 대해 개별 단위 조직별 최고책임자를 조사

- 조직별로 수행 업무를 확인

        > 조직별 수행 업무 및 임무, 역할과 책임을 조사

정보보호 정책 적용 대상 업무에 연관된 물리적/관리적/기술적 시설 종류 및 규모를 확인

- 수행 업무에 따른 업무 장소를 조사

        > 조직이 상주하고 있는 사무실, 공장, 복도, 창고 등의 물리적인 공간을 조사

- 수행 업무를 위해 사용되는 정보 시스템 및 장비를 조사

        > 조직의 업무 수행을 위해 활용되고 있는 정보 시스템 및 지원 기술, 지원 도구, 행정 필요 기자재 등을 조사

- 업무상 사용/도출되는 산출물을 조사하고 보관/등록 방법을 조사

        > 업무 수행 과정 및 결과로 도출/작성되는 산출물의 유형을 조사

        > 각 산출물별 작성 주체 및 저장/보관 방식을 조사

        > 각 산출물의 보관/관리 담당자를 확인

        > 각 산출물의 파기/삭제 주기를 조사

정보보호 정책 적용 대상 업무에 대한 중요도 파악

- 정보보호 정책 적용 대상 업무 범위를 조사한다.

- 정보보호 정책 적용 대상 업무 중단 시의 업무 영향 범위를 조사한다.

- 조사된 업무 영향 범위에 따른 손실 정도를 정량적으로 도출한다.

- 정보보호 정책 적용 대상 업무를 대상으로 도출된 손실 정도에 따라 우선순위를 결정

- 결정된 우선순위에 따라 중요도를 결정

물리적/관리적/기술적 시설 종류 및 규모 및 중요도를 바탕으로, 정보보호 업무 수행에 필요한 인력을

산정

- 정보보호 관련 업무 종류 및 범위, 수준을 정의

        > 조직 내 전체 업무에 대하여 정보보호 대상 업무를 조사

        > 조사된 정보보호 대상 업무에 대하여 해당 업무에 적용되고 있는 정보를 조사

        > 업무에 적용 중인 정보에 대한 정보 활용 방식을 조사

        > 정보 활용 방식을 바탕으로 외/내부 위협을 조사

        > 외/내부 위협에 대한 취약점을 조사

        > 조사된 취약점을 바탕으로 대응 방향을 도출

        > 도출된 대응 방향에 따른 취약점 보완 및 위협 제거 방법을 결정

        > 결정된 취약점 보완 및 위협 제거 방법의 적용 시, 해당 적용 사항에 대한 점검 방법을 결정

- 정보보호 관련 업무에 필요한 연관 기술 및 지식, 경험을 정의

        > 정보보호 관련 지식

                ㄴ 정보보호 관련법 및 시행령

                ㄴ 시행규칙

                ㄴ 정보보호 분야

                ㄴ 정보보호 정책

                ㄴ 정보보호 엔지니어링

                ㄴ 정보 시스템에 대한 운용

        > 정보보안 실무 경험

                ㄴ 정보보호 외부 감사 대응

                ㄴ 정보 시스템 운용 실무

                ㄴ 정보관리 실무, 비즈니스 프로세스 관리 경험

                ㄴ 정보보호 체계 구축 실무

                ㄴ 정보보호 내부 점검 실무

- 정보보호 관련 업무에 필요한 연관 기술 및 지식, 경험을 정의

        > 정보보안 구축 기술

                ㄴ 정보시스템 구축 기술

                ㄴ 네트워크 구축 기술

                ㄴ 정보 저장/전송에 대한 기술

                ㄴ 정보보안 인력관리 기술

                ㄴ 보안사고 대응 기술

                ㄴ 정보 추적 기술

정보보호 관련 업무에 대한 연관 기술에 대한 필요 인력 산정

- 정보보호 관련 업무 수행에 필요한 기술/경험/지식을 통합하여 직원 직위/직급에 따라 분류

- 분류된 직위/직무에 따라, 필요 정보보호 담당자의 인원수를 결정

정보보호 관련 담당자를 선발

- 정보보호 관련 업무에 필요한 연관 기술/지식/경험을 바탕으로 인터뷰 질문을 준비

        > 정보보호 연관 기술/지식/경험 등의 항목에 해당하는 질문을 결정한다.

        > 질문에 대한 중요도 순서를 산정

- 산정된 중요도에 따라 문항별 배점을 결정

- 질문 완료를 위한 인터뷰 소요 시간을 산정

- 준비된 질문을 바탕으로 대상 직무 지원자 전체에 대해 인터뷰

        > 산정된 인터뷰 소요시간을 기준으로 지원자 개개인에 대한 인터뷰 일정 및 장소를 계획

        > 직무 지원자에 대해 인터뷰 소요 시간을 통보

        > 계획된 인터뷰 일정 및 장소에 따라 직무 지원자에 대해 인터뷰를 진행

        > 인터뷰 완료 후 질문에 대한 답변에 따른 점수를 결정

- 인터뷰 완료 후 질문 배점을 총합하여 산정된 정보보호 관련 담당자 선발

- 선발된 정보보호 담당자별 직무와 역할, 책임 할당

 

정보보호 조직 구성 체계

정보보호 조직 구성 체계

- 정보보호 최고책임자

- 정보보호위원회

- 정보보호 관리자

- 정보보호 실무자

- 부서별 보안 담당자

 

정보보호 조직 수행 업무

정보보호 조직 수행 업무

정보보호 조직 구성원	임무
정보보호 최고책임자	- 정보보호 관련 법령의 해석 및 접근 - 정보보호 시행 방향/목표/전략의 수립 - 정보보호 정책 수립 등
정보보호 위원회	- 정보보호 시행 근거 검토, 시행 안 평가 - 정보보호 활동 심의 등
정보보호 관리자	- 정보보호 목표 달성 방법의 수립 - 사전 정보보호 대책 마련 - 취약점 분석/평가 및 개선 방향 수립 - 정보보호 관리체계 수립 - 침해 대응 및 분석 - 정보보호 업무체계의 수립 등
정보보호 실무자	- 취약점 분석/개선 시행 - 정보보호 체계의 이행 관리/감독 등
부서별 보안 담당자	- 부서 내 정보보호 페계의 적용 등

 

업무 지침서

조직 내 업무별 역할과 임무

- 조직 본연의 임무 및 이를 세분화 한 조직 구성원별 역할과 임무를 조사

- 각 업무에 대한 범위 분석을 통하여 보안요구사항 및 정보보안 범위, 수준을 이해

업무별 권한 및 지원 시스템

- 조직 내 구성원 별 역할, 임무 달성을 위한 권한, 업무 수행 시 필요한 지원 시스템의 종류 및 해당 지원 시스템의 역할에      대해 이해

업무 수행 방법

- 조직 내 구성원의 임무 수행에 따른 산출물과 이해관계자를 확인

- 해당 업무의 시작과 종료, 수행 절차, 지원 사항 등을 이해

 

정보보호 담당자 평가 체계 수립

정보보호 최고책임자 및 정보보호 관련 담당자의 직무 확인

- 정보보호 최고책임자의 임무를 확인

- 정보보호 최고책임자의 임무를 바탕으로 업무 항목을 조사

- 정보보호 관련 담당자의 임무를 확인

- 정보보호 관련 담당자의 임무를 바탕으로 업무 항목을 조사

정보보호 항목 항목별 역할과 책임을 확인

- 조사된 정보보호 활동 항목의 세부 수행 절차 및 방법, 산출물을 조사

- 세부 수행 절차 및 방법, 산출물은 구분하여 정보보호 활동 항목에 대한 단위업무를 도출

- 도출된 단위업무에 대한 역할을 배정하고, 역할에 따른 책임을 조사

- 정보보호 활동 단위업무에 대한 역할과 책임을 맡은 정보보호 활동 담당자를 확인

각 정보보호 업무 활동 수행 및 대상 업무를 조사

- 업무 지침서에 기술된 정보보호 활동 대상 업무를 조사

- 정보보호 활동 대상 업무의 수행 절차 및 방법, 산출물을 조사

- 전체 정보보호 활동 항목을 조사

- 각 정보보호 활동의 수행 절차 및 방법, 산출물을 조사

정보보호 업무 활동에 대한 평가체계를 수립

- 정보보호 활동에 대한 적합성 평가 방법을 수립

- 적합성 평가 방법에 대한 세부 평가 항목을 도출

- 평가 방법에 대한 적합/부적합 판정 기준을 수립

- 정보보호 활동 평가 결과가 부적합으로 판정될 수 있는 경우를 조사

- 조사된 경우 별로 해당 원인을 조사

- 조사된 원인에 대한 개선 방향을 수립하고, 개선방향에 따라 조치사항을 도출